IT 機器販売業者の Tech Data 社は、個人情報や機密情報が詰まった安全でないデータベースを誰でも閲覧できるインターネット上に公開した最新の企業です。
ネットワークセキュリティ企業vpnMentorのチームが、ウェブマッピングプロジェクトの一環としてサイバー空間をスキャンしていたところ、Tech Dataが所有するGraylog管理サーバーが一般公開されていたことを偶然発見しました。そのデータベースには、メール、支払い情報やクレジットカード情報、暗号化されていないユーザー名とパスワードなど、264GBもの情報がキャッシュされていたそうです。誰かの一日(あるいは一年)を台無しにするのに必要な情報が、ほぼ全て含まれていたのです。
vpnMentorは本日The Register紙に対し、テック・データの顧客の性質上、今回のリスクは特に深刻であると述べた。フォーチュン500企業であるテック・データは、融資やマーケティングサービスからIT管理、ユーザートレーニングコースまで、あらゆるサービスを提供している。同社のウェブサイトに掲載されている顧客の中には、Apple、Symantec、Ciscoなどが含まれている。
「我々の知る限り、これは深刻な漏洩です。顧客アカウントへのログインに必要な認証情報がすべて公開されているほどです」と、vpnMentorの広報担当者はEl Reg紙に語った。「データベースの規模が大きいため、全てを確認することはできず、ここで開示した情報よりもさらに機密性の高い情報が公開されている可能性があります。」
研究者らは、ログイン認証情報とカード情報に加え、データベース内でプライベートAPIキーとログ、そして氏名、役職、電話番号、メールアドレス、住所を含む顧客プロフィールを発見したと述べています。これらはすべて、見つけることができれば誰でも閲覧可能です。
vpnMentorは、6月2日に公開データベースを発見し、Tech Dataに報告したと述べている。6月4日までに、Tech Dataはデータベースを保護し、一般公開から隠蔽したとチームに伝えた。Tech DataはThe Registerからのコメント要請には応じなかった。米国に拠点を置く同社は、最新のSEC提出書類においてこの件について言及していない。
8億900万件もの連絡先記録が流出したマーケティングメールデータベース?もしかしたら20億件以上?
続きを読む
漏洩した情報が本物かつ最新のものであると判明した場合、テック・データは漏洩した情報の機密性を考慮すると、後始末に追われることになる可能性が高い。データベースには、ログイン認証情報や銀行口座情報に加え、競合企業や敵対政府にとって有用な可能性のある企業機密情報も含まれていると言われている。
「テック・データは業界で非常に重要な企業であるため、データベースが公開されると、不当な優位性を得ようとする競合他社や、ハッカーがシステムを乗っ取ってランサムウェアなどで悪用する危険にさらされることになる」とvpnMentorは今回の失態の概要で指摘している。
Tech Dataにとって心強い点があるとすれば、それは、自社のサーバーをインターネット上に公開したまま放置しているのは、この巨大IT企業だけではないという事実だ。個々の研究者やセキュリティ企業は、IPアドレスのブロックをクロールし、アクセス制限が適切に設定されていないクラウドインスタンスやサーバーを検知する、いわば一大産業を形成している。その結果、誰でも接続できる状態になってしまったのだ。
この問題の解決策は至ってシンプルです。サーバーの設定を確認し、アクセス権限が承認されたユーザーのみに制限されていることを確認してください。確かに、クラウドの急速な成長と管理者の負担が増大している昨今においては、言うは易く行うは難しです。®
